CN109558708B - 基于安全多方计算的应用程序运行控制方法、装置及*** - Google Patents
基于安全多方计算的应用程序运行控制方法、装置及*** Download PDFInfo
- Publication number
- CN109558708B CN109558708B CN201811456335.9A CN201811456335A CN109558708B CN 109558708 B CN109558708 B CN 109558708B CN 201811456335 A CN201811456335 A CN 201811456335A CN 109558708 B CN109558708 B CN 109558708B
- Authority
- CN
- China
- Prior art keywords
- application program
- intranet
- node
- target application
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000004364 calculation method Methods 0.000 claims abstract description 87
- 238000012795 verification Methods 0.000 claims abstract description 59
- 238000004891 communication Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了基于安全多方计算的应用程序运行控制方法、装置及***,该方法包括:企业内网中任一节点存储经加密处理的、包括有涉及若干应用程序的白名单的统一计算逻辑;接收企业内网中一内网设备发来的针对目标应用程序在其上运行的许可校验请求;利用计算逻辑计算目标应用程序的关键信息以得到白名单中是否涉及目标应用程序的计算结果;各节点的计算结果均为白名单中涉及目标应用程序时,向内网设备发送目标应用程序可在其上运行的许可校验结果。将白名单隐藏于加密计算逻辑中,由计算逻辑得到应用程序是否位于白名单中的计算结果。由于未存储或间接暴露白名单且不能反推计算逻辑以获得白名单,故能够避免恶意程序在内网设备上运行。
Description
技术领域
本发明涉及计算机技术领域,特别涉及基于安全多方计算的应用程序运行控制方法、装置及***。
背景技术
为了保证企业内网的安全,要求内网设备上运行的应用程序应是安全的。
目前,可创建白名单,仅有位于白名单内的应用程序才可以在内网设备中运行。
但这种安全机制存在漏洞,比如当白名单被篡改后,可能导致恶意程序在内网设备上运行,从而对企业内网的安全造成威胁。
发明内容
本发明提供了基于安全多方计算的应用程序运行控制方法、装置及***,能够避免恶意程序在内网设备上运行。
为了达到上述目的,本发明是通过如下技术方案实现的:
第一方面,本发明提供了一种基于安全多方计算的应用程序运行控制方法,应用于企业内网中的任一节点,存储经加密处理的、包括有应用程序白名单的计算逻辑,其中,所述应用程序白名单中涉及至少一个应用程序,不同节点存储的计算逻辑相同;还包括:
接收所述企业内网中的任一内网设备发来的、针对目标应用程序在所述内网设备上运行的许可校验请求,所述许可校验请求携带有所述目标应用程序的关键信息;
利用所述计算逻辑对所述目标应用程序的关键信息进行计算,以得到所述应用程序白名单中是否涉及所述目标应用程序的计算结果;
所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,向所述内网设备发送所述目标应用程序可在所述内网设备上运行的许可校验结果。
进一步地,该方法还包括:确定所述企业内网中的结果发送节点,所述结果发送节点为企业内网中的任一节点;
以及,所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,向所述内网设备发送所述目标应用程序可在所述内网设备上运行的许可校验结果,包括:
自身为所述结果发送节点时,接收所述企业内网中每一个其他节点广播的计算结果,且所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,向所述内网设备发送所述目标应用程序可在所述内网设备上运行的许可校验结果;
自身不为所述结果发送节点时,在所述企业内网中广播得到的计算结果,以使所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,经所述结果发送节点向所述内网设备发送所述许可校验结果。
进一步地,所述目标应用程序的关键信息为经加密处理的信息;
自身为所述结果发送节点时,该方法还包括:将所述目标应用程序的关键信息和所述许可校验结果写入预先设置的账本中;
自身不为所述结果发送节点时,该方法还包括:以所述结果发送节点中设置的账本为基准,定期将预先设置的账本与所述结果发送节点中设置的账本相同步。
第二方面,本发明提供了一种节点,该节点为企业内网中的任一节点,包括:
存储单元,用于存储经加密处理的、包括有应用程序白名单的计算逻辑,其中,所述应用程序白名单中涉及至少一个应用程序,不同节点存储的计算逻辑相同;
通信单元,用于接收所述企业内网中的任一内网设备发来的、针对目标应用程序在所述内网设备上运行的许可校验请求,所述许可校验请求携带有所述目标应用程序的关键信息;所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,向所述内网设备发送所述目标应用程序可在所述内网设备上运行的许可校验结果;
处理单元,用于利用所述计算逻辑对所述目标应用程序的关键信息进行计算,以得到所述应用程序白名单中是否涉及所述目标应用程序的计算结果。
进一步地,所述通信单元,用于确定所述企业内网中的结果发送节点,所述结果发送节点为企业内网中的任一节点;自身为所述结果发送节点时,接收所述企业内网中每一个其他节点广播的计算结果,且所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,向所述内网设备发送所述目标应用程序可在所述内网设备上运行的许可校验结果;自身不为所述结果发送节点时,在所述企业内网中广播得到的计算结果,以使所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,经所述结果发送节点向所述内网设备发送所述许可校验结果。
进一步地,所述目标应用程序的关键信息为经加密处理的信息;
所述通信单元,用于自身为所述结果发送节点时,将所述目标应用程序的关键信息和所述许可校验结果写入预先设置的账本中;自身不为所述结果发送节点时,以所述结果发送节点中设置的账本为基准,定期将预先设置的账本与所述结果发送节点中设置的账本相同步。
第三方面,本发明提供了一种基于安全多方计算的应用程序运行控制***,包括:企业内网中的至少一个内网设备,以及,所述企业内网中的至少一个上述任一所述的节点;
其中,每一个所述内网设备,均用于在接收到外部输入的目标应用程序和针对所述目标应用程序的运行请求时,将所述目标应用程序的关键信息分别发送给每一个所述节点;在接收到外部发来的所述目标应用程序可在该内网设备上运行的许可校验结果时,运行所述目标应用程序。
进一步地,所述企业内网中的结果发送节点为所述企业内网中的任一节点;
每一个所述内网设备,均用于存储加密算法,不同内网设备存储的加密算法相同;利用存储的加密算法加密所述目标应用程序的关键信息,并将针对所述目标应用程序在该内网设备上运行的许可校验请求分别发送给每一个所述节点,所述许可校验请求携带有加密后的所述目标应用程序的关键信息;将针对所述目标应用程序的应用程序运行状态信息发送给所述结果发送节点;
所述结果发送节点,用于将接收到的每一个应用程序运行状态信息写入预先设置的账本中;
所述企业内网中除所述结果发送节点之外的每一个节点,均用于以所述结果发送节点中设置的账本为基准,定期将预先设置的账本与所述结果发送节点中设置的账本相同步。
第四方面,本发明提供了一种可读介质,包括执行指令,当存储控制器的处理器执行所述执行指令时,所述存储控制器执行上述任一所述的基于安全多方计算的应用程序运行控制方法。
第五方面,本发明提供了一种存储控制器,包括:处理器、存储器和总线;
所述存储器用于存储执行指令,所述处理器与所述存储器通过所述总线连接,当所述存储控制器运行时,所述处理器执行所述存储器存储的所述执行指令,以使所述存储控制器执行上述任一所述的基于安全多方计算的应用程序运行控制方法。
本发明提供了基于安全多方计算的应用程序运行控制方法、装置及***,该方法包括:企业内网中任一节点存储经加密处理的、包括有涉及若干应用程序的白名单的统一计算逻辑;接收企业内网中一内网设备发来的针对目标应用程序在其上运行的许可校验请求;利用计算逻辑计算目标应用程序的关键信息以得到白名单中是否涉及目标应用程序的计算结果;各节点的计算结果均为白名单中涉及目标应用程序时,向内网设备发送目标应用程序可在其上运行的许可校验结果。将白名单隐藏于加密计算逻辑中,由计算逻辑得到应用程序是否位于白名单中的计算结果。由于未存储或间接暴露白名单且不能反推计算逻辑以获得白名单,故能够避免恶意程序在内网设备上运行。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种基于安全多方计算的应用程序运行控制方法的流程图;
图2是本发明一实施例提供的另一种基于安全多方计算的应用程序运行控制方法的流程图;
图3是本发明一实施例提供的一种节点的示意图;
图4是本发明一实施例提供的一种基于安全多方计算的应用程序运行控制***的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种基于安全多方计算的应用程序运行控制方法,应用于企业内网中的任一节点,可以包括以下步骤:
步骤101:存储经加密处理的、包括有应用程序白名单的计算逻辑,其中,所述应用程序白名单中涉及至少一个应用程序,不同节点存储的计算逻辑相同。
步骤102:接收所述企业内网中的任一内网设备发来的、针对目标应用程序在所述内网设备上运行的许可校验请求,所述许可校验请求携带有所述目标应用程序的关键信息。
步骤103:利用所述计算逻辑对所述目标应用程序的关键信息进行计算,以得到所述应用程序白名单中是否涉及所述目标应用程序的计算结果。
步骤104:所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,向所述内网设备发送所述目标应用程序可在所述内网设备上运行的许可校验结果。
本发明实施例提供的基于安全多方计算的应用程序运行控制方法为,企业内网中任一节点存储经加密处理的、包括有涉及若干应用程序的白名单的统一计算逻辑;接收企业内网中一内网设备发来的针对目标应用程序在其上运行的许可校验请求;利用计算逻辑计算目标应用程序的关键信息以得到白名单中是否涉及目标应用程序的计算结果;各节点的计算结果均为白名单中涉及目标应用程序时,向内网设备发送目标应用程序可在其上运行的许可校验结果。将白名单隐藏于加密计算逻辑中,由计算逻辑得到应用程序是否位于白名单中的计算结果。由于未存储或间接暴露白名单且不能反推计算逻辑以获得白名单,故能够避免恶意程序在内网设备上运行。
通常情况下,仅有位于白名单内的应用程序才可以在内网设备中运行。本发明实施例中,应用程序位于白名单中,通常指应用程序的唯一标识信息,比如程序唯一标号、程序唯一关键信息等位于白名单中,而非应用程序自身位于白名单中。
本发明实施例中,为避免存在白名单被恶意篡改后所造成的恶意程序在内网设备上运行,以对企业内网的安全造成威胁的问题,故可以将白名单隐藏至计算逻辑中,以避免直接存储白名单,以及计算逻辑为经预先加密所得,以避免解密计算逻辑以获得白名单。对于计算逻辑来说,其以应用程序的关键信息作为输入,以应用程序是否在白名单中作为输出,故即使节点被恶意入侵,非法入侵者仍不能获得或修改白名单。
基于上述内容,在本发明一个实施例中,当一个应用程序需要在企业内网设备上运行时,该内网设备可将该应用程序的关键信息作为输入,分别发送给企业内网的各个节点,以使每一个节点可利用上述计算逻辑对应用程序的关键信息进行计算,计算结果为该应用程序是否位于白名单中。
本发明实施例中,如果所有节点的计算结果均表明该应用程序位于白名单中时,确定该应用程序位于白名单中,该应用程序可以在内网设备上运行;如果至少存在一个节点的计算结果表明该应用程序没有位于白名单中,则确定该应用程序不位于白名单中,该应用程序无法在内网设备上运行。此外,无论确定出的结果如何,均可实时通知相应内网设备。
在本发明一个实施例中,该方法可以进一步包括:确定所述企业内网中的结果发送节点,所述结果发送节点为企业内网中的任一节点;
以及,所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,向所述内网设备发送所述目标应用程序可在所述内网设备上运行的许可校验结果,包括:自身为所述结果发送节点时,接收所述企业内网中每一个其他节点广播的计算结果,且所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,向所述内网设备发送所述目标应用程序可在所述内网设备上运行的许可校验结果;自身不为所述结果发送节点时,在所述企业内网中广播得到的计算结果,以使所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,经所述结果发送节点向所述内网设备发送所述许可校验结果。
本发明实施例中,由于各个节点在企业内网中呈分布式存在,故可以预先从中推选出公共均认可的一个节点来作为结果发送节点,并由结果发送节点将确定出的结果发送给相应内网设备。
如此,对于任一节点来说,自身为结果发送节点时,需要汇总自身得到的计算结果和每一个其他节点得到并广播的计算结果,来生成许可校验结果以及向相应内网设备发送许可校验结果。反之,自身不为结果发送节点时,将自身得到的结果在企业内网中进行广播,以使结果发送节点可通过汇总计算结果以生成许可校验结果,以及向相应内网设备发送许可校验结果。即,各个普通节点经广播自身得到的结果以触发结果发送节点,从而经结果发送节点以向相应内网设备发送许可校验结果。
在本发明一个实施例中,所述目标应用程序的关键信息为经加密处理的信息;
自身为所述结果发送节点时,该方法可以进一步包括:将所述目标应用程序的关键信息和所述许可校验结果写入预先设置的账本中;
自身不为所述结果发送节点时,该方法可以进一步包括:以所述结果发送节点中设置的账本为基准,定期将预先设置的账本与所述结果发送节点中设置的账本相同步。
本发明实施例中,为避免待运行应用程序的关键信息存在泄漏可能,内网设备在发送关键信息之前,可以利用预设的统一加密方式对其进行加密,并将密文发送给各个节点。
此外,基于安全多方计算,可以针对企业内网中的各个节点,创建分布式账本。比如,可以在各个节点上分别设置账本,不同节点之间可以同步数据以保证账本所记录信息的同步。
本发明实施例中,可以由结果发送节点实时更新自身设置的账本,各个其他节点定期同步结果发送节点中设置的账本。
如图2所示,本发明实施例提供了另一种基于安全多方计算的应用程序运行控制方法,可以包括以下步骤:
步骤201:企业内网中的全部节点共同确定其中的一个节点为结果发送节点。
步骤202:每一个节点均存储经加密处理的、包括有应用程序白名单的计算逻辑,其中,应用程序白名单中涉及至少一个应用程序,不同节点存储的计算逻辑相同。
步骤203:企业内网中的每一个内网设备均存储加密算法,不同内网设备存储的加密算法相同。
步骤204:内网设备A在接收到外部输入的目标应用程序和针对目标应用程序的运行请求时,利用存储的加密算法加密目标应用程序的关键信息,并将针对目标应用程序在内网设备A上运行的许可校验请求分别发送给每一个节点,其中,许可校验请求携带有加密后的目标应用程序的关键信息。
步骤205:每一个节点均接收内网设备A发来的许可校验请求,利用存储的计算逻辑对加密后的目标应用程序的关键信息进行计算,以得到应用程序白名单中是否涉及目标应用程序的计算结果。
步骤206:除结果发送节点外的每一个节点,均将得到的计算结果在企业内网中进行广播,并以结果发送节点中设置的账本为基准,定期将预先设置的账本与结果发送节点中设置的账本相同步。
步骤207:结果发送节点接收每一个其他节点广播的计算结果,且每一个节点得到的计算结果均为应用程序白名单中涉及目标应用程序时,向内网设备A发送目标应用程序可在内网设备A上运行的许可校验结果,并将目标应用程序的关键信息和许可校验结果写入预先设置的账本中。
步骤208:内网设备A在接收到结果发送节点发来的,目标应用程序可在内网设备A运行的许可校验结果时,运行目标应用程序。
步骤209:内网设备A将针对目标应用程序的应用程序运行状态信息发送给结果发送节点。
步骤210:结果发送节点将接收到的应用程序运行状态信息写入设置的账本中。
如图3所示,本发明实施例提供了一种节点,该节点为企业内网中的任一节点,包括:
存储单元301,用于存储经加密处理的、包括有应用程序白名单的计算逻辑,其中,所述应用程序白名单中涉及至少一个应用程序,不同节点存储的计算逻辑相同;
通信单元302,用于接收所述企业内网中的任一内网设备发来的、针对目标应用程序在所述内网设备上运行的许可校验请求,所述许可校验请求携带有所述目标应用程序的关键信息;所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,向所述内网设备发送所述目标应用程序可在所述内网设备上运行的许可校验结果;
处理单元303,用于利用所述计算逻辑对所述目标应用程序的关键信息进行计算,以得到所述应用程序白名单中是否涉及所述目标应用程序的计算结果。
在本发明一个实施例中,所述通信单元302,用于确定所述企业内网中的结果发送节点,所述结果发送节点为企业内网中的任一节点;自身为所述结果发送节点时,接收所述企业内网中每一个其他节点广播的计算结果,且所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,向所述内网设备发送所述目标应用程序可在所述内网设备上运行的许可校验结果;自身不为所述结果发送节点时,在所述企业内网中广播得到的计算结果,以使所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,经所述结果发送节点向所述内网设备发送所述许可校验结果。
在本发明一个实施例中,所述目标应用程序的关键信息为经加密处理的信息;
所述通信单元302,用于自身为所述结果发送节点时,将所述目标应用程序的关键信息和所述许可校验结果写入预先设置的账本中;自身不为所述结果发送节点时,以所述结果发送节点中设置的账本为基准,定期将预先设置的账本与所述结果发送节点中设置的账本相同步。
上述装置内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
如图4所示,本发明实施例提供了一种基于安全多方计算的应用程序运行控制***,包括:
企业内网中的至少一个内网设备401,以及,所述企业内网中的至少一个上述任一所述的节点402;
其中,每一个所述内网设备401,均用于在接收到外部输入的目标应用程序和针对所述目标应用程序的运行请求时,将所述目标应用程序的关键信息分别发送给每一个所述节点402;在接收到外部发来的所述目标应用程序可在该内网设备上运行的许可校验结果时,运行所述目标应用程序。
详细地,企业内网下可以设有多个内网设备,任一内网设备上需要运行应用程序时,该内网设备即将待运行应用程序的关键信息发送给各个节点,以使各个节点进行相应许可校验,即校验该待运行应用程序是否在应用程序白名单中。
在本发明一个实施例中,所述企业内网中的结果发送节点为所述企业内网中的任一节点402;
每一个所述内网设备401,均用于存储加密算法,不同内网设备401存储的加密算法相同;利用存储的加密算法加密所述目标应用程序的关键信息,并将针对所述目标应用程序在该内网设备上运行的许可校验请求分别发送给每一个所述节点402,所述许可校验请求携带有加密后的所述目标应用程序的关键信息;将针对所述目标应用程序的应用程序运行状态信息发送给所述结果发送节点;
所述结果发送节点,用于将接收到的每一个应用程序运行状态信息写入预先设置的账本中;
所述企业内网中除所述结果发送节点之外的每一个节点,均用于以所述结果发送节点中设置的账本为基准,定期将预先设置的账本与所述结果发送节点中设置的账本相同步。
本发明实施例中,各内网设备可以将应用程序的关键信息的密文发送给各个节点,以保证应用程序的关键信息不易泄露。
此外,运行应用程序时,可以反馈相应运行状态信息,以使分布式账本中可以同步记录各已运行应用程序的运行状态信息。
此外,本发明一个实施例提供了一种可读介质,包括执行指令,当存储控制器的处理器执行所述执行指令时,所述存储控制器执行上述任一所述的基于安全多方计算的应用程序运行控制方法。
此外,本发明一个实施例提供了一种存储控制器,包括:处理器、存储器和总线;
所述存储器用于存储执行指令,所述处理器与所述存储器通过所述总线连接,当所述存储控制器运行时,所述处理器执行所述存储器存储的所述执行指令,以使所述存储控制器执行上述任一所述的基于安全多方计算的应用程序运行控制方法。
综上所述,本发明的实施例具有至少如下有益效果:
1、本发明实施例中,基于安全多方计算的应用程序运行控制方法为,企业内网中任一节点存储经加密处理的、包括有涉及若干应用程序的白名单的统一计算逻辑;接收企业内网中一内网设备发来的针对目标应用程序在其上运行的许可校验请求;利用计算逻辑计算目标应用程序的关键信息以得到白名单中是否涉及目标应用程序的计算结果;各节点的计算结果均为白名单中涉及目标应用程序时,向内网设备发送目标应用程序可在其上运行的许可校验结果。将白名单隐藏于加密计算逻辑中,由计算逻辑得到应用程序是否位于白名单中的计算结果。由于未存储或间接暴露白名单且不能反推计算逻辑以获得白名单,故能够避免恶意程序在内网设备上运行。
2、本发明实施例中,基于安全多方计算,可以针对企业内网中的各个节点,创建分布式账本。比如,可以在各个节点上分别设置账本,不同节点之间可以同步数据以保证账本所记录信息的同步。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个〃····〃”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种基于安全多方计算的应用程序运行控制方法,其特征在于,应用于企业内网中的至少两个节点中的任一节点,存储经加密处理的、包括有应用程序白名单的计算逻辑,其中,所述应用程序白名单中涉及至少一个应用程序,不同节点存储的计算逻辑相同;还包括:
接收所述企业内网中的任一内网设备发来的、针对目标应用程序在所述内网设备上运行的许可校验请求,所述许可校验请求携带有所述目标应用程序的关键信息;
利用所述计算逻辑对所述目标应用程序的关键信息进行计算,以得到所述应用程序白名单中是否涉及所述目标应用程序的计算结果;
所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,向所述内网设备发送所述目标应用程序可在所述内网设备上运行的许可校验结果;
所述企业内网中的至少一个节点得到的计算结果,为所述应用程序白名单中不涉及所述目标应用程序时,向所述内网设备发送所述目标应用程序不可在所述内网设备上运行的许可校验结果。
2.根据权利要求1所述的方法,其特征在于,
进一步包括:确定所述企业内网中的结果发送节点,所述结果发送节点为企业内网中的任一节点;
以及,所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,向所述内网设备发送所述目标应用程序可在所述内网设备上运行的许可校验结果,包括:
自身为所述结果发送节点时,接收所述企业内网中每一个其他节点广播的计算结果,且所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,向所述内网设备发送所述目标应用程序可在所述内网设备上运行的许可校验结果;
自身不为所述结果发送节点时,在所述企业内网中广播得到的计算结果,以使所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,经所述结果发送节点向所述内网设备发送所述许可校验结果。
3.根据权利要求2所述的方法,其特征在于,
所述目标应用程序的关键信息为经加密处理的信息;
自身为所述结果发送节点时,进一步包括:将所述目标应用程序的关键信息和所述许可校验结果写入预先设置的账本中;
自身不为所述结果发送节点时,进一步包括:以所述结果发送节点中设置的账本为基准,定期将预先设置的账本与所述结果发送节点中设置的账本相同步。
4.一种节点,其特征在于,该节点为企业内网中的至少两个节点中的任一节点,包括:
存储单元,用于存储经加密处理的、包括有应用程序白名单的计算逻辑,其中,所述应用程序白名单中涉及至少一个应用程序,不同节点存储的计算逻辑相同;
通信单元,用于接收所述企业内网中的任一内网设备发来的、针对目标应用程序在所述内网设备上运行的许可校验请求,所述许可校验请求携带有所述目标应用程序的关键信息;所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,向所述内网设备发送所述目标应用程序可在所述内网设备上运行的许可校验结果;所述企业内网中的至少一个节点得到的计算结果,为所述应用程序白名单中不涉及所述目标应用程序时,向所述内网设备发送所述目标应用程序不可在所述内网设备上运行的许可校验结果;
处理单元,用于利用所述计算逻辑对所述目标应用程序的关键信息进行计算,以得到所述应用程序白名单中是否涉及所述目标应用程序的计算结果。
5.根据权利要求4所述的节点,其特征在于,
所述通信单元,用于确定所述企业内网中的结果发送节点,所述结果发送节点为企业内网中的任一节点;自身为所述结果发送节点时,接收所述企业内网中每一个其他节点广播的计算结果,且所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,向所述内网设备发送所述目标应用程序可在所述内网设备上运行的许可校验结果;自身不为所述结果发送节点时,在所述企业内网中广播得到的计算结果,以使所述企业内网中的每一个节点得到的计算结果,均为所述应用程序白名单中涉及所述目标应用程序时,经所述结果发送节点向所述内网设备发送所述许可校验结果。
6.根据权利要求5所述的节点,其特征在于,
所述目标应用程序的关键信息为经加密处理的信息;
所述通信单元,用于自身为所述结果发送节点时,将所述目标应用程序的关键信息和所述许可校验结果写入预先设置的账本中;自身不为所述结果发送节点时,以所述结果发送节点中设置的账本为基准,定期将预先设置的账本与所述结果发送节点中设置的账本相同步。
7.一种基于安全多方计算的应用程序运行控制***,其特征在于,包括:
企业内网中的至少一个内网设备,以及,所述企业内网中的至少两个如权利要求4至6中任一所述的节点;
其中,每一个所述内网设备,均用于在接收到外部输入的目标应用程序和针对所述目标应用程序的运行请求时,将所述目标应用程序的关键信息分别发送给每一个所述节点;在接收到外部发来的所述目标应用程序可在该内网设备上运行的许可校验结果时,运行所述目标应用程序。
8.根据权利要求7所述的基于安全多方计算的应用程序运行控制***,其特征在于,
所述企业内网中的结果发送节点为所述企业内网中的任一节点;
每一个所述内网设备,均用于存储加密算法,不同内网设备存储的加密算法相同;利用存储的加密算法加密所述目标应用程序的关键信息,并将针对所述目标应用程序在该内网设备上运行的许可校验请求分别发送给每一个所述节点,所述许可校验请求携带有加密后的所述目标应用程序的关键信息;将针对所述目标应用程序的应用程序运行状态信息发送给所述结果发送节点;
所述结果发送节点,用于将接收到的每一个应用程序运行状态信息写入预先设置的账本中;
所述企业内网中除所述结果发送节点之外的每一个节点,均用于以所述结果发送节点中设置的账本为基准,定期将预先设置的账本与所述结果发送节点中设置的账本相同步。
9.一种可读介质,其特征在于,包括执行指令,当存储控制器的处理器执行所述执行指令时,所述存储控制器执行如权利要求1至3中任一所述的基于安全多方计算的应用程序运行控制方法。
10.一种存储控制器,其特征在于,包括:处理器、存储器和总线;
所述存储器用于存储执行指令,所述处理器与所述存储器通过所述总线连接,当所述存储控制器运行时,所述处理器执行所述存储器存储的所述执行指令,以使所述存储控制器执行如权利要求1至3中任一所述的基于安全多方计算的应用程序运行控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811456335.9A CN109558708B (zh) | 2018-11-30 | 2018-11-30 | 基于安全多方计算的应用程序运行控制方法、装置及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811456335.9A CN109558708B (zh) | 2018-11-30 | 2018-11-30 | 基于安全多方计算的应用程序运行控制方法、装置及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109558708A CN109558708A (zh) | 2019-04-02 |
| CN109558708B true CN109558708B (zh) | 2020-10-09 |
Family
ID=65868249
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811456335.9A Active CN109558708B (zh) | 2018-11-30 | 2018-11-30 | 基于安全多方计算的应用程序运行控制方法、装置及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109558708B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741860A (zh) * | 2009-11-27 | 2010-06-16 | 华中科技大学 | 一种计算机远程安全控制方法 |
| CN102982275A (zh) * | 2012-11-14 | 2013-03-20 | 北京奇虎科技有限公司 | 一种运行应用程序的安全控制方法和装置 |
| CN103632069A (zh) * | 2013-11-19 | 2014-03-12 | 北京奇虎科技有限公司 | 一种内网中终端安全的管理方法和装置 |
| CN104850775A (zh) * | 2014-02-14 | 2015-08-19 | 北京奇虎科技有限公司 | 一种应用程序安全性的鉴定方法和装置 |
| CN105162852A (zh) * | 2015-08-12 | 2015-12-16 | 西安电子科技大学 | 多出口异构无线网络分布式资源共享方法 |
-
2018
- 2018-11-30 CN CN201811456335.9A patent/CN109558708B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741860A (zh) * | 2009-11-27 | 2010-06-16 | 华中科技大学 | 一种计算机远程安全控制方法 |
| CN102982275A (zh) * | 2012-11-14 | 2013-03-20 | 北京奇虎科技有限公司 | 一种运行应用程序的安全控制方法和装置 |
| CN103632069A (zh) * | 2013-11-19 | 2014-03-12 | 北京奇虎科技有限公司 | 一种内网中终端安全的管理方法和装置 |
| CN104850775A (zh) * | 2014-02-14 | 2015-08-19 | 北京奇虎科技有限公司 | 一种应用程序安全性的鉴定方法和装置 |
| CN105162852A (zh) * | 2015-08-12 | 2015-12-16 | 西安电子科技大学 | 多出口异构无线网络分布式资源共享方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109558708A (zh) | 2019-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102084674B1 (ko) | 블록체인 기반 컨텐츠 관리 방법 및 상기 방법을 수행하는 시스템 | |
| US10439804B2 (en) | Data encrypting system with encryption service module and supporting infrastructure for transparently providing encryption services to encryption service consumer processes across encryption service state changes | |
| CN110800250B (zh) | 受控加密私钥的发布 | |
| US10069629B2 (en) | Controlled access to data in a sandboxed environment | |
| KR102145701B1 (ko) | 안전한 다자 계산에서 참가자에 의한 입력 데이터의 허위 표시 방지 | |
| WO2018076762A1 (zh) | 基于区块链的交易验证方法、***、电子装置及介质 | |
| US8886964B1 (en) | Protecting remote asset against data exploits utilizing an embedded key generator | |
| US9621524B2 (en) | Cloud-based key management | |
| US11258591B2 (en) | Cryptographic key management based on identity information | |
| CN111770201A (zh) | 一种数据验证方法、装置及设备 | |
| CN113569266B (zh) | 一种基于芯片层级隐私计算的主机远程监控方法 | |
| US20180300493A1 (en) | Secure and efficient cloud storage with retrievability guarantees | |
| CN110830242A (zh) | 一种密钥生成、管理方法和服务器 | |
| EP2803011B1 (en) | Detection of invalid escrow keys | |
| CN109302501B (zh) | 一种基于区块链技术的工控数据存储方法、装置及*** | |
| CN109657492A (zh) | 数据库管理方法、介质及电子设备 | |
| KR20210021284A (ko) | 보호된 컨테이너 간의 보안 통신 방법 및 그러한 시스템 | |
| KR20200116010A (ko) | 아이덴티티 정보에 기초한 암호 키 관리 | |
| CN110569669B (zh) | 一种面向云存储的数据可信销毁方法及其*** | |
| US11374741B2 (en) | Systems and methods for data provenance assurance | |
| CN109558708B (zh) | 基于安全多方计算的应用程序运行控制方法、装置及*** | |
| CN108616528B (zh) | 一种云存储方法和*** | |
| US20230107805A1 (en) | Security System | |
| US20170220812A1 (en) | Security record transfer in a computing system | |
| US20210135853A1 (en) | Apparatus and method for data security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |